第一篇：保險公司風險管理指引(試行)

關于印發(fā)《保險公司風險管理指引（試行）》的通知

2007-04-18

保監(jiān)發(fā)〔2007〕23號

各保險公司、保險資產管理公司，各保監(jiān)局：

為強化保險公司風險管理，加強保險監(jiān)管，提高風險防范能力，保監(jiān)會制定了《保險公司風險管理指引（試行）》?，F(xiàn)印發(fā)給你們，請各公司結合自身實際，認真貫徹落實。

特此通知

二○○七年四月六日

保險公司風險管理指引（試行）

第一章 總則

第一條 為指導保險公司加強風險管理，保障保險公司穩(wěn)健經營，根據(jù)《關于規(guī)范保險公司治理結構的指導意見（試行）》及其他相關法律法規(guī)，制定本指引。

第二條 本指引適用于在中國境內依法設立的保險公司和保險資產管理公司。

保險集團（控股）公司已經按照本指引規(guī)定建立覆蓋全集團的風險管理體系的，經中國保監(jiān)會批準，其保險子公司可以不適用本指引。

第三條 本指引所稱風險，是指對實現(xiàn)保險經營目標可能產生負面影響的不確定性因素。

第四條 本指引所稱風險管理，是指保險公司圍繞經營目標，對保險經營中的風險進行識別、評估和控制的基本流程以及相關的組織架構、制度和措施。

第五條 保險公司應當明確風險管理目標，建立健全風險管理體系，規(guī)范風險管理流程，采用先進的風險管理方法和手段，努力實現(xiàn)適當風險水平下的效益最大化。

第六條 保險公司風險管理應當遵循以下原則：

（一）全面管理與重點監(jiān)控相統(tǒng)一的原則。保險公司應當建立覆蓋所有業(yè)務流程和操作環(huán)節(jié)，能夠對風險進行持續(xù)監(jiān)控、定期評估和準確預警的全面風險管理體系，同時要根據(jù)公司實際有針對性地實施重點風險監(jiān)控，及時發(fā)現(xiàn)、防范和化解對公司經營有重要影響的風險。

（二）獨立集中與分工協(xié)作相統(tǒng)一的原則。保險公司應當建立全面評估和集中管理風險的機制，保證風險管理的獨立性和客觀性，同時要強化業(yè)務單位的風險管理主體職責，在保證風險管理職能部門與業(yè)務單位分工明確、密切協(xié)作的基礎上，使業(yè)務發(fā)展與風險管理平行推進，實現(xiàn)對風險的過程控制。

（三）充分有效與成本控制相統(tǒng)一的原則。保險公司應當建立與自身經營目標、業(yè)務規(guī)模、資本實力、管理能力和風險狀況相適應的風險管理體系，同時要合理權衡風險管理成本與效益的關系，合理配置風險管理資源，實現(xiàn)適當成本下的有效風險管理。

第七條 保險公司應當建立涵蓋風險管理基本流程和控制環(huán)節(jié)的信息系統(tǒng)，提高風險管理的信息化水平。

保險公司應當統(tǒng)籌規(guī)劃風險管理和業(yè)務管理信息系統(tǒng)，使風險信息能夠在職能部門和業(yè)務單位之間實現(xiàn)集成與共享，充分滿足對風險進行分析評估和監(jiān)控管理的各項要求。

第八條 保險公司應當定期對高級管理人員和員工進行風險管理理念、知識、流程以及控制方式等內容的培訓，增強風險管理意識，同時將風險管理績效與薪酬制度、人事制度和責任追究制度相結合，培育和塑造良好的風險管理文化。

第二章 風險管理組織

第九條 保險公司應當建立由董事會負最終責任、管理層直接領導，以風險管理機構為依托，相關職能部門密切配合，覆蓋所有業(yè)務單位的風險管理組織體系。

第十條 保險公司可以在董事會下設立風險管理委員會負責風險管理工作。

風險管理委員會成員應當熟悉保險公司業(yè)務和管理流程，對保險經營風險及其識別、評估和控制等具備足夠的知識和經驗。

沒有設立風險管理委員會的，由審計委員會承擔相應職責。

第十一條 保險公司董事會風險管理委員會應當全面了解公司面臨的各項重大風險及其管理狀況，監(jiān)督風險管理體系運行的有效性，對以下事項進行審議并向董事會提出意見和建議：

（一）風險管理的總體目標、基本政策和工作制度；

（二）風險管理機構設置及其職責；

（三）重大決策的風險評估和重大風險的解決方案；

（四）年度風險評估報告。

第十二條 保險公司可以設立由相關高級管理人員或者部門負責人組成的綜合協(xié)調機構，由總經理或者總經理指定的高級管理人員擔任負責人。風險管理協(xié)調機構主要職責如下：

（一）研究制定與保險公司發(fā)展戰(zhàn)略、整體風險承受能力相匹配的風險管理政策和制度；

（二）研究制定重大事件、重大決策和重要業(yè)務流程的風險評估報告以及重大風險的解決方案；

（三）向董事會風險管理委員會和管理層提交年度風險評估報告；

（四）指導、協(xié)調和監(jiān)督各職能部門和各業(yè)務單位開展風險管理工作。

第十三條 保險公司應當設立風險管理部門或者指定工作部門具體負責風險管理相關事務工作。該部門主要職責如下：

（一）對風險進行定性和定量評估，改進風險管理方法、技術和模型；

（二）合理確定各類風險限額，組織協(xié)調風險管理日常工作，協(xié)助各業(yè)務部門在風險限額內開展業(yè)務，監(jiān)控風險限額的遵守情況；

（三）資產負債管理；

（四）組織推動建立風險管理信息系統(tǒng)；

（五）組織推動風險文化建設。

設有本指引第十二條規(guī)定的風險管理協(xié)調機構的，該部門為其辦事機構。

第十四條 保險公司各職能部門和業(yè)務單位應當接受風險管理部門的組織、協(xié)調和監(jiān)督，建立健全本職能部門或者業(yè)務單位風險管理的子系統(tǒng)，執(zhí)行風險管理的基本流程，定期對本職能部門或者業(yè)務單位的風險進行評估，對其風險管理的有效性負責。

第三章 風險評估

第十五條 保險公司應當識別和評估經營過程中面臨的各類主要風險，包括：保險風險、市場風險、信用風險和操作風險等。

（一）保險風險指由于對死亡率、疾病率、賠付率、退保率等判斷不正確導致產品定價錯誤或者準備金提取不足，再保險安排不當，非預期重大理賠等造成損失的可能性。

（二）市場風險是指由于利率、匯率、股票價格和商品價格等市場價格的不利變動而造成損失，以及由于重大危機造成業(yè)務收入無法彌補費用的可能性。

（三）信用風險是指由于債務人或者交易對手不能履行合同義務，或者信用狀況的不利變動而造成損失的可能性。

（四）操作風險指由于操作流程不完善、人為過錯和信息系統(tǒng)故障等原因導致?lián)p失的可能性。

保險公司還應當對戰(zhàn)略規(guī)劃失誤和公司治理結構不完善等給公司帶來不利影響的其他風險予以關注。

第十六條 保險公司風險管理部門應當與各職能部門和業(yè)務單位建立信息共享機制，廣泛搜集、整理與風險管理相關的內外部信息，為風險評估奠定相應的信息基礎。

第十七條 保險公司應當在廣泛收集信息的基礎上，對經營活動和業(yè)務流程進行風險評估。風險評估包括風險識別、風險分析、風險評價三個步驟。

風險識別是指識別經營活動及業(yè)務流程中是否存在風險以及存在何種風險。

風險分析是指對識別出的風險進行分析，判斷風險發(fā)生的可能性及風險發(fā)生的條件。

風險評價是指評估風險可能產生損失的大小及對保險公司實現(xiàn)經營目標的影響程度。

第十八條 風險評估應當采用定性與定量相結合的方法。定量評估應當統(tǒng)一制定各風險的度量單位和風險度量模型，確保評估的假設前提、參數(shù)、數(shù)據(jù)來源和評估程序的合理性和準確性。

第十九條 保險公司進行風險評估時，應當對各種風險之間的相關性進行分析，以便發(fā)現(xiàn)各風險之間的自然對沖、風險事件發(fā)生的正負相關性等組合效應，對風險進行統(tǒng)一集中管理。

第二十條 風險評估由風險管理部門組織實施，必要時可以聘請中介機構協(xié)助實施。

第二十一條 保險公司應當對風險信息實行動態(tài)管理，及時識別新的風險，并對原有風險的變化進行重新評估。

第四章 風險控制

第二十二條 風險控制包括明確風險管理總體策略、制定風險解決方案和方案的組織實施等內容。

第二十三條 制定風險管理總體策略是指保險公司根據(jù)自身發(fā)展戰(zhàn)略和條件，明確風險管理重點，確定風險限額，選擇風險管理工具以及配置風險管理資源等的總體安排。

第二十四條 保險公司應當根據(jù)風險發(fā)生的可能性和對經營目標的影響程度，對各項風險進行分析比較，確定風險管理的重點。

第二十五條 確定風險限額是指保險公司根據(jù)自身財務狀況、經營需要和各類保險業(yè)務的特點，在平衡風險與收益的基礎上，確定愿意承擔哪些風險及所能承受的最高風險水平，并據(jù)此確定風險的預警線。

第二十六條 保險公司針對不同類型的風險，可以選擇風險規(guī)避、降低、轉移或者自留等風險管理工具，確保把風險控制在風險限額以內。

第二十七條 保險公司應當根據(jù)風險管理總體策略，針對各類重大風險制定風險解決方案。風險解決方案主要包括解決該項風險所要達到的具體目標，所涉及的管理及業(yè)務流程，所需的條件和資源，所采取的具體措施及風險管理工具等內容。

第二十八條 保險公司應當根據(jù)各職能部門和業(yè)務單位職責分工，認真組織實施風險解決方案，確保風險得到有效控制。

第五章 風險管理的監(jiān)督與改進

第二十九條 保險公司應當對風險管理的流程及其有效性進行檢驗評估，并根據(jù)評估結果及時改進。

第三十條 保險公司各職能部門和業(yè)務單位應當定期對其風險管理工作進行自查，并將自查報告報送風險管理部門。

第三十一條 保險公司風險管理部門應當定期對各職能部門和業(yè)務單位的風險管理工作進行檢查評估，并提出改進的建議和措施。

第三十二條 保險公司風險管理部門應當每年至少一次向管理層和董事會提交風險評估報告。風險評估報告主要包括以下內容：

（一）風險管理組織體系和基本流程；

（二）風險管理總體策略及其執(zhí)行情況；

（三）各類風險的評估方法及結果；

（四）重大風險事件情況及未來風險狀況的預測；

（五）對風險管理的改進建議。

第三十三條 董事會或者其風險管理委員會可以聘請中介機構對保險公司風險管理工作進行評價，并出具評估報告。

第六章 風險管理的監(jiān)管

第三十四條 保險公司應當及時向中國保監(jiān)會報告本公司發(fā)生的重大風險事件。

第三十五條 保險公司應當按照本指引及償付能力編報規(guī)則的要求，在年報中提交經董事會審議的年度風險評估報告。

第三十六條 中國保監(jiān)會定期對保險公司及其分支機構的風險管理工作進行檢查。檢查內容主要包括：

（一）風險管理組織的健全性及履職情況；

（二）風險管理流程的完備性、可操作性和實際運行情況；

（三）重大風險處置的及時性和有效性。

第三十七條 中國保監(jiān)會可以根據(jù)檢查結果，對風險管理存在嚴重缺陷的保險公司出具風險提示函。保險公司應當按照風險提示函的要求及時提交整改方案，采取整改措施并提交整改情況報告。

第七章 附則

第三十八條 本指引由中國保監(jiān)會負責解釋。

第三十九條 本指引自二○○七年七月一日起施行。

第二篇：11.保險公司風險管理指引(試行)

關于印發(fā)《保險公司風險管理指引（試行）》的通知

2007-04-18 保監(jiān)發(fā)〔2007〕23號

各保險公司、保險資產管理公司，各保監(jiān)局：

為強化保險公司風險管理，加強保險監(jiān)管，提高風險防范能力，保監(jiān)會制定了《保險公司風險管理指引（試行）》?，F(xiàn)印發(fā)給你們，請各公司結合自身實際，認真貫徹落實。

特此通知

二○○七年四月六日

保險公司風險管理指引（試行）

第一章 總則

第一條 為指導保險公司加強風險管理，保障保險公司穩(wěn)健經營，根據(jù)《關于規(guī)范保險公司治理結構的指導意見（試行）》及其他相關法律法規(guī)，制定本指引。

第二條 本指引適用于在中國境內依法設立的保險公司和保險資產管理公司。

保險集團（控股）公司已經按照本指引規(guī)定建立覆蓋全集團的風險管理體系的，經中國保監(jiān)會批準，其保險子公司可以不適用本指引。

第三條 本指引所稱風險，是指對實現(xiàn)保險經營目標可能產生負面影響的不確定性因素。

第四條 本指引所稱風險管理，是指保險公司圍繞經營目標，對保險經營中的風險進行識別、評估和控制的基本流程以及相關的組織架構、制度和措施。

第五條 保險公司應當明確風險管理目標，建立健全風險管理體系，規(guī)范風險管理流程，采用先進的風險管理方法和手段，努力實現(xiàn)適當風險水平下的效益最大化。

第六條 保險公司風險管理應當遵循以下原則：

覆估地響 全性能險 與應合

（一）全面管理與重點監(jiān)控相統(tǒng)一的原則。保險公司應當建立蓋所有業(yè)務流程和操作環(huán)節(jié)，能夠對風險進行持續(xù)監(jiān)控、定期評和準確預警的全面風險管理體系，同時要根據(jù)公司實際有針對性實施重點風險監(jiān)控，及時發(fā)現(xiàn)、防范和化解對公司經營有重要影的風險。

（二）獨立集中與分工協(xié)作相統(tǒng)一的原則。保險公司應當建立面評估和集中管理風險的機制，保證風險管理的獨立性和客觀，同時要強化業(yè)務單位的風險管理主體職責，在保證風險管理職部門與業(yè)務單位分工明確、密切協(xié)作的基礎上，使業(yè)務發(fā)展與風管理平行推進，實現(xiàn)對風險的過程控制。

（三）充分有效與成本控制相統(tǒng)一的原則。保險公司應當建立自身經營目標、業(yè)務規(guī)模、資本實力、管理能力和風險狀況相適的風險管理體系，同時要合理權衡風險管理成本與效益的關系，理配置風險管理資源，實現(xiàn)適當成本下的有效風險管理。

第七條 保險公司應當建立涵蓋風險管理基本流程和控制環(huán)節(jié)的信息系統(tǒng)，提高風險管理的信息化水平。

保險公司應當統(tǒng)籌規(guī)劃風險管理和業(yè)務管理信息系統(tǒng)，使風險信息能夠在職能部門和業(yè)務單位之間實現(xiàn)集成與共享，充分滿足對風險進行分析評估和監(jiān)控管理的各項要求。

理識結 第八條 保險公司應當定期對高級管理人員和員工進行風險管理念、知識、流程以及控制方式等內容的培訓，增強風險管理意，同時將風險管理績效與薪酬制度、人事制度和責任追究制度相合，培育和塑造良好的風險管理文化。

第二章 風險管理組織

第九條 保險公司應當建立由董事會負最終責任、管理層直接領導，以風險管理機構為依托，相關職能部門密切配合，覆蓋所有業(yè)務單位的風險管理組織體系。

第十條 保險公司可以在董事會下設立風險管理委員會負責風險管理工作。

風險管理委員會成員應當熟悉保險公司業(yè)務和管理流程，對保險經營風險及其識別、評估和控制等具備足夠的知識和經驗。

沒有設立風險管理委員會的，由審計委員會承擔相應職責。

第十一條 保險公司董事會風險管理委員會應當全面了解公司面臨的各項重大風險及其管理狀況，監(jiān)督風險管理體系運行的有效性，對以下事項進行審議并向董事會提出意見和建議：

（一）風險管理的總體目標、基本政策和工作制度；

（二）風險管理機構設置及其職責；

（三）重大決策的風險評估和重大風險的解決方案；

（四）風險評估報告。

第十二條 保險公司可以設立由相關高級管理人員或者部門負責人組成的綜合協(xié)調機構，由總經理或者總經理指定的高級管理人員擔任負責人。風險管理協(xié)調機構主要職責如下：

（一）研究制定與保險公司發(fā)展戰(zhàn)略、整體風險承受能力相匹配的風險管理政策和制度；

（二）研究制定重大事件、重大決策和重要業(yè)務流程的風險評估報告以及重大風險的解決方案；

（三）向董事會風險管理委員會和管理層提交風險評估報告；

（四）指導、協(xié)調和監(jiān)督各職能部門和各業(yè)務單位開展風險管理工作。

第十三條 保險公司應當設立風險管理部門或者指定工作部門具體負責風險管理相關事務工作。該部門主要職責如下：

（一）對風險進行定性和定量評估，改進風險管理方法、技術和模型；

（二）合理確定各類風險限額，組織協(xié)調風險管理日常工作，協(xié)助各業(yè)務部門在風險限額內開展業(yè)務，監(jiān)控風險限額的遵守情況；

（三）資產負債管理；

（四）組織推動建立風險管理信息系統(tǒng)；

（五）組織推動風險文化建設。

設有本指引第十二條規(guī)定的風險管理協(xié)調機構的，該部門為其辦事機構。

部管業(yè) 門理務第的的單十組子位四織系的條 保險公司各職能部門和業(yè)務單位應當接受風險管理、協(xié)調和監(jiān)督，建立健全本職能部門或者業(yè)務單位風險統(tǒng)，執(zhí)行風險管理的基本流程，定期對本職能部門或者風險進行評估，對其風險管理的有效性負責。

第三章 風險評估

第十五條 保險公司應當識別和評估經營過程中面臨的各類主要風險，包括：保險風險、市場風險、信用風險和操作風險等。

（一）保險風險指由于對死亡率、疾病率、賠付率、退保率等判斷不正確導致產品定價錯誤或者準備金提取不足，再保險安排不當，非預期重大理賠等造成損失的可能性。

（二）市場風險是指由于利率、匯率、股票價格和商品價格等市場價格的不利變動而造成損失，以及由于重大危機造成業(yè)務收入無法彌補費用的可能性。

（三）信用風險是指由于債務人或者交易對手不能履行合同義務，或者信用狀況的不利變動而造成損失的可能性。

（四）操作風險指由于操作流程不完善、人為過錯和信息系統(tǒng)故障等原因導致?lián)p失的可能性。

保險公司還應當對戰(zhàn)略規(guī)劃失誤和公司治理結構不完善等給公司帶來不利影響的其他風險予以關注。

第十六條 保險公司風險管理部門應當與各職能部門和業(yè)務單位建立信息共享機制，廣泛搜集、整理與風險管理相關的內外部信息，為風險評估奠定相應的信息基礎。

第十七條 保險公司應當在廣泛收集信息的基礎上，對經營活動和業(yè)務流程進行風險評估。風險評估包括風險識別、風險分析、風險評價三個步驟。

風險識別是指識別經營活動及業(yè)務流程中是否存在風險以及存在何種風險。

風險分析是指對識別出的風險進行分析，判斷風險發(fā)生的可能性及風險發(fā)生的條件。

風險評價是指評估風險可能產生損失的大小及對保險公司實現(xiàn)經營目標的影響程度。

第十八條 風險評估應當采用定性與定量相結合的方法。定量評估應當統(tǒng)一制定各風險的度量單位和風險度量模型，確保評估的假設前提、參數(shù)、數(shù)據(jù)來源和評估程序的合理性和準確性。

第十九條 保險公司進行風險評估時，應當對各種風險之間的相關性進行分析，以便發(fā)現(xiàn)各風險之間的自然對沖、風險事件發(fā)生的正負相關性等組合效應，對風險進行統(tǒng)一集中管理。

第二十條 風險評估由風險管理部門組織實施，必要時可以聘請中介機構協(xié)助實施。

第二十一條 保險公司應當對風險信息實行動態(tài)管理，及時識別新的風險，并對原有風險的變化進行重新評估。

第四章 風險控制

第二十二條 風險控制包括明確風險管理總體策略、制定風險解決方案和方案的組織實施等內容。

第二十三條 制定風險管理總體策略是指保險公司根據(jù)自身發(fā)展戰(zhàn)略和條件，明確風險管理重點，確定風險限額，選擇風險管理工具以及配置風險管理資源等的總體安排。

第二十四條 保險公司應當根據(jù)風險發(fā)生的可能性和對經營目標的影響程度，對各項風險進行分析比較，確定風險管理的重點。

經定的 營愿預第需意警二要承線十和擔。五條 確定風險限額是指保險公司根據(jù)自身財務狀況、各類保險業(yè)務的特點，在平衡風險與收益的基礎上，確哪些風險及所能承受的最高風險水平，并據(jù)此確定風險

第二十六條 保險公司針對不同類型的風險，可以選擇風險規(guī)避、降低、轉移或者自留等風險管理工具，確保把風險控制在風險限額以內。

重所源 大要，第風達所二險到采十制的取七定具的條風體具 保險公司應當根據(jù)風險管理總體策略，針對各類險解決方案。風險解決方案主要包括解決該項風險目標，所涉及的管理及業(yè)務流程，所需的條件和資體措施及風險管理工具等內容。

第二十八條 保險公司應當根據(jù)各職能部門和業(yè)務單位職責分工，認真組織實施風險解決方案，確保風險得到有效控制。

第五章 風險管理的監(jiān)督與改進

第二十九條 保險公司應當對風險管理的流程及其有效性進行檢驗評估，并根據(jù)評估結果及時改進。

第三十條 保險公司各職能部門和業(yè)務單位應當定期對其風險管理工作進行自查，并將自查報告報送風險管理部門。

第三十一條 保險公司風險管理部門應當定期對各職能部門和業(yè)務單位的風險管理工作進行檢查評估，并提出改進的建議和措施。

第三十二條 保險公司風險管理部門應當每年至少一次向管理層和董事會提交風險評估報告。風險評估報告主要包括以下內容：

（一）風險管理組織體系和基本流程；

（二）風險管理總體策略及其執(zhí)行情況；

（三）各類風險的評估方法及結果；

（四）重大風險事件情況及未來風險狀況的預測；

（五）對風險管理的改進建議。

第三十三條 董事會或者其風險管理委員會可以聘請中介機構對保險公司風險管理工作進行評價，并出具評估報告。

第六章 風險管理的監(jiān)管

第三十四條 保險公司應當及時向中國保監(jiān)會報告本公司發(fā)生的重大風險事件。

第三十五條 保險公司應當按照本指引及償付能力編報規(guī)則的要求，在年報中提交經董事會審議的風險評估報告。

第三十六條 中國保監(jiān)會定期對保險公司及其分支機構的風險管理工作進行檢查。檢查內容主要包括：

（一）風險管理組織的健全性及履職情況；

（二）風險管理流程的完備性、可操作性和實際運行情況；

（三）重大風險處置的及時性和有效性。

第三十七條 中國保監(jiān)會可以根據(jù)檢查結果，對風險管理存在嚴重缺陷的保險公司出具風險提示函。保險公司應當按照風險提示函的要求及時提交整改方案，采取整改措施并提交整改情況報告。

第七章 附則

第三十八條 本指引由中國保監(jiān)會負責解釋。

第三十九條 本指引自二○○七年七月一日起施行。

第三篇：保險公司風險管理指引

保險公司風險管理指引（試行）

各保險公司、保險資產管理公司，各保監(jiān)局：

為強化保險公司風險管理，加強保險監(jiān)管，提高風險防范能力，保監(jiān)會制定了《保險公司風險管理指引（試行）》?，F(xiàn)印發(fā)給你們，請各公司結合自身實際，認真貫徹落實。

特此通知

二○○七年四月六日

目錄 第一章 總

則 第二章 風險管理組織 第三章 風險評估 第四章 風險控制

第五章 風險管理的監(jiān)督與改進 第六章 風險管理的監(jiān)管 第七章 附

則

第一章 總

則

第一條 為指導保險公司加強風險管理，保障保險公司穩(wěn)健經營，根據(jù)《關于規(guī)范保險公司治理結構的指導意見（試行）》及其他相關法律法規(guī)，制定本指引。

第二條 本指引適用于在中國境內依法設立的保險公司和保險資產管理公司。

保險集團（控股）公司已經按照本指引規(guī)定建立覆蓋全集團的風險管理體系的，經中國保監(jiān)會批準，其保險子公司可以不適用本指引。

第三條 本指引所稱風險，是指對實現(xiàn)保險經營目標可能產生負面影響的不確定性因素。

第四條 本指引所稱風險管理，是指保險公司圍繞經營目標，對保險經營中的風險進行識別、評估和控制的基本流程以及相關的組織架構、制度和措施。

第五條 保險公司應當明確風險管理目標，建立健全風險管理體系，規(guī)范風險管理流程，采用先進的風險管理方法和手段，努力實現(xiàn)適當風險水平下的效益最大化。

第六條 保險公司風險管理應當遵循以下原則：

（一）全面管理與重點監(jiān)控相統(tǒng)一的原則。保險公司應當建立覆蓋所有業(yè)務流程和操作環(huán)節(jié)，能夠對風險進行持續(xù)監(jiān)控、定期評估和準確預警的全面風險管理體系，同時要根據(jù)公司實際有針對性地實施重點風險監(jiān)控，及時發(fā)現(xiàn)、防范和化解對公司經營有重要影響的風險。

（二）獨立集中與分工協(xié)作相統(tǒng)一的原則。保險公司應當建立全面評估和集中管理風險的機制，保證風險管理的獨立性和客觀性，同時要強化業(yè)務單位的風險管理主體職責，在保證風險管理職能部門與業(yè)務單位分工明確、密切協(xié)作的基礎上，使業(yè)務發(fā)展與風險管理平行推進，實現(xiàn)對風險的過程控制。

（三）充分有效與成本控制相統(tǒng)一的原則。保險公司應當建立與自身經營目標、業(yè)務規(guī)模、資本實力、管理能力和風險狀況相適應的風險管理體系，同時要合理權衡風險管理成本與效益的關系，合理配置風險管理資源，實現(xiàn)適當成本下的有效風險管理。

第七條 保險公司應當建立涵蓋風險管理基本流程和控制環(huán)節(jié)的信息系統(tǒng)，提高風險管理的信息化水平。

保險公司應當統(tǒng)籌規(guī)劃風險管理和業(yè)務管理信息系統(tǒng)，使風險信息能夠在職能部門和業(yè)務單位之間實現(xiàn)集成與共享，充分滿足對風險進行分析評估和監(jiān)控管理的各項要求。

第八條 保險公司應當定期對高級管理人員和員工進行風險管理理念、知識、流程以及控制方式等內容的培訓，增強風險管理意識，同時將風險管理績效與薪酬制度、人事制度和責任追究制度相結合，培育和塑造良好的風險管理文化。

返

回

第二章 風險管理組織

第九條 保險公司應當建立由董事會負最終責任、管理層直接領導，以風險管理機構為依托，相關職能部門密切配合，覆蓋所有業(yè)務單位的風險管理組織體系。

第十條 保險公司可以在董事會下設立風險管理委員會負責風險管理工作。

風險管理委員會成員應當熟悉保險公司業(yè)務和管理流程，對保險經營風險及其識別、評估和控制等具備足夠的知識和經驗。

沒有設立風險管理委員會的，由審計委員會承擔相應職責。

第十一條 保險公司董事會風險管理委員會應當全面了解公司面臨的各項重大風險及其管理狀況，監(jiān)督風險管理體系運行的有效性，對以下事項進行審議并向董事會提出意見和建議：

（一）風險管理的總體目標、基本政策和工作制度；

（二）風險管理機構設置及其職責；

（三）重大決策的風險評估和重大風險的解決方案；

（四）風險評估報告。

第十二條 保險公司可以設立由相關高級管理人員或者部門負責人組成的綜合協(xié)調機構，由總經理或者總經理指定的高級管理人員擔任負責人。風險管理協(xié)調機構主要職責如下：

（一）研究制定與保險公司發(fā)展戰(zhàn)略、整體風險承受能力相匹配的風險管理政策和制度；

（二）研究制定重大事件、重大決策和重要業(yè)務流程的風險評估報告以及重大風險的解決方案；

（三）向董事會風險管理委員會和管理層提交風險評估報告；

（四）指導、協(xié)調和監(jiān)督各職能部門和各業(yè)務單位開展風險管理工作。

第十三條 保險公司應當設立風險管理部門或者指定工作部門具體負責風險管理相關事務工作。該部門主要職責如下：

（一）對風險進行定性和定量評估，改進風險管理方法、技術和模型；

（二）合理確定各類風險限額，組織協(xié)調風險管理日常工作，協(xié)助各業(yè)務部門在風險限額內開展業(yè)務，監(jiān)控風險限額的遵守情況；

（三）資產負債管理；

（四）組織推動建立風險管理信息系統(tǒng)；

（五）組織推動風險文化建設。

設有本指引第十二條規(guī)定的風險管理協(xié)調機構的，該部門為其辦事機構。

第十四條 保險公司各職能部門和業(yè)務單位應當接受風險管理部門的組織、協(xié)調和監(jiān)督，建立健全本職能部門或者業(yè)務單位風險管理的子系統(tǒng)，執(zhí)行風險管理的基本流程，定期對本職能部門或者業(yè)務單位的風險進行評估，對其風險管理的有效性負責。

返

回

第三章 風險評估

第十五條 保險公司應當識別和評估經營過程中面臨的各類主要風險，包括：保險風險、市場風險、信用風險和操作風險等。

（一）保險風險指由于對死亡率、疾病率、賠付率、退保率等判斷不正確導致產品定價錯誤或者準備金提取不足，再保險安排不當，非預期重大理賠等造成損失的可能性。

（二）市場風險是指由于利率、匯率、股票價格和商品價格等市場價格的不利變動而造成損失，以及由于重大危機造成業(yè)務收入無法彌補費用的可能性。

（三）信用風險是指由于債務人或者交易對手不能履行合同義務，或者信用狀況的不利變動而造成損失的可能性。

（四）操作風險指由于操作流程不完善、人為過錯和信息系統(tǒng)故障等原因導致?lián)p失的可能性。

保險公司還應當對戰(zhàn)略規(guī)劃失誤和公司治理結構不完善等給公司帶來不利影響的其他風險予以關注。

第十六條 保險公司風險管理部門應當與各職能部門和業(yè)務單位建立信息共享機制，廣泛搜集、整理與風險管理相關的內外部信息，為風險評估奠定相應的信息基礎。

第十七條 保險公司應當在廣泛收集信息的基礎上，對經營活動和業(yè)務流程進行風險評估。風險評估包括風險識別、風險分析、風險評價三個步驟。

風險識別是指識別經營活動及業(yè)務流程中是否存在風險以及存在何種風險。

風險分析是指對識別出的風險進行分析，判斷風險發(fā)生的可能性及風險發(fā)生的條件。

風險評價是指評估風險可能產生損失的大小及對保險公司實現(xiàn)經營目標的影響程度。

第十八條 風險評估應當采用定性與定量相結合的方法。定量評估應當統(tǒng)一制定各風險的度量單位和風險度量模型，確保評估的假設前提、參數(shù)、數(shù)據(jù)來源和評估程序的合理性和準確性。

第十九條 保險公司進行風險評估時，應當對各種風險之間的相關性進行分析，以便發(fā)現(xiàn)各風險之間的自然對沖、風險事件發(fā)生的正負相關性等組合效應，對風險進行統(tǒng)一集中管理。

第二十條 風險評估由風險管理部門組織實施，必要時可以聘請中介機構協(xié)助實施。

第二十一條 保險公司應當對風險信息實行動態(tài)管理，及時識別新的風險，并對原有風險的變化進行重新評估。

返

回

第四章 風險控制

第二十二條 風險控制包括明確風險管理總體策略、制定風險解決方案和方案的組織實施等內容。

第二十三條 制定風險管理總體策略是指保險公司根據(jù)自身發(fā)展戰(zhàn)略和條件，明確風險管理重點，確定風險限額，選擇風險管理工具以及配置風險管理資源等的總體安排。

第二十四條 保險公司應當根據(jù)風險發(fā)生的可能性和對經營目標的影響程度，對各項風險進行分析比較，確定風險管理的重點。

第二十五條 確定風險限額是指保險公司根據(jù)自身財務狀況、經營需要和各類保險業(yè)務的特點，在平衡風險與收益的基礎上，確定愿意承擔哪些風險及所能承受的最高風險水平，并據(jù)此確定風險的預警線。

第二十六條 保險公司針對不同類型的風險，可以選擇風險規(guī)避、降低、轉移或者自留等風險管理工具，確保把風險控制在風險限額以內。

第二十七條 保險公司應當根據(jù)風險管理總體策略，針對各類重大風險制定風險解決方案。風險解決方案主要包括解決該項風險所要達到的具體目標，所涉及的管理及業(yè)務流程，所需的條件和資源，所采取的具體措施及風險管理工具等內容。

第二十八條 保險公司應當根據(jù)各職能部門和業(yè)務單位職責分工，認真組織實施風險解決方案，確保風險得到有效控制。

返

回

第五章 風險管理的監(jiān)督與改進

第二十九條 保險公司應當對風險管理的流程及其有效性進行檢驗評估，并根據(jù)評估結果及時改進。

第三十條 保險公司各職能部門和業(yè)務單位應當定期對其風險管理工作進行自查，并將自查報告報送風險管理部門。

第三十一條 保險公司風險管理部門應當定期對各職能部門和業(yè)務單位的風險管理工作進行檢查評估，并提出改進的建議和措施。

第三十二條 保險公司風險管理部門應當每年至少一次向管理層和董事會提交風險評估報告。風險評估報告主要包括以下內容：

（一）風險管理組織體系和基本流程；

（二）風險管理總體策略及其執(zhí)行情況；

（三）各類風險的評估方法及結果；

（四）重大風險事件情況及未來風險狀況的預測；

（五）對風險管理的改進建議。

第三十三條 董事會或者其風險管理委員會可以聘請中介機構對保險公司風險管理工作進行評價，并出具評估報告。

返

回

第六章 風險管理的監(jiān)管

第三十四條 保險公司應當及時向中國保監(jiān)會報告本公司發(fā)生的重大風險事件。

第三十五條 保險公司應當按照本指引及償付能力編報規(guī)則的要求，在年報中提交經董事會審議的風險評估報告。

第三十六條 中國保監(jiān)會定期對保險公司及其分支機構的風險管理工作進行檢查。檢查內容主要包括：

（一）風險管理組織的健全性及履職情況；

（二）風險管理流程的完備性、可操作性和實際運行情況；

（三）重大風險處置的及時性和有效性。

第三十七條 中國保監(jiān)會可以根據(jù)檢查結果，對風險管理存在嚴重缺陷的保險公司出具風險提示函。保險公司應當按照風險提示函的要求及時提交整改方案，采取整改措施并提交整改情況報告。

返

回

第七章 附

則

第三十八條 本指引由中國保監(jiān)會負責解釋。

第三十九條 本指引自二○○七年七月一日起施行。

第四篇：保險公司信息系統(tǒng)安全管理指引(試行)

保險公司信息系統(tǒng)安全管理指引（試行）

一、總 則

第一條為防范化解保險公司信息系統(tǒng)安全風險，完善信息系統(tǒng)安全保障體系，確保信息系統(tǒng)安全、穩(wěn)定運行，根據(jù)《中華人民共和國保險法》、國家信息安全相關法律法規(guī)和有關要求，制定本指引。

第二條本指引適用于在中華人民共和國境內依法設立的保險公司和保險資產管理公司。

第三條本指引所稱信息系統(tǒng)安全，是指利用信息安全技術及管理手段，保護信息在采集、傳輸、交換、處理和存儲等過程中的可用性、保密性、完整性和不可抵賴性，保障信息系統(tǒng)的安全、穩(wěn)定運行。

第四條信息系統(tǒng)安全是公司持續(xù)穩(wěn)定發(fā)展的重要基礎。各公司應通過管理機制和技術手段，加強信息安全保障工作，保障業(yè)務活動的連續(xù)性。

實現(xiàn)信息化工作集中管理的保險集團（控股）公司，可以集團（控股）公司為單位對信息系統(tǒng)安全工作統(tǒng)籌規(guī)劃執(zhí)行。

第五條中國保監(jiān)會依法對保險公司信息系統(tǒng)安全工作實施監(jiān)督管理。

二、安全管理總體要求

第六條信息系統(tǒng)安全工作應按照“積極防御、綜合防范”的原則，與自身業(yè)務及信息系統(tǒng)同步規(guī)劃、同步建設、同步運行，構建完備的信息系統(tǒng)安全保障體系。

第七條各公司是信息系統(tǒng)安全的責任主體。公司法定代表人或主要負責人為信息系統(tǒng)安全的第一責任人。

第八條信息化工作委員會之下應設立信息安全專業(yè)工作機構，全面統(tǒng)籌協(xié)調公司信息系統(tǒng)安全相關事項的研判決策，并應指定公司級高級管理人員負責信息安全專業(yè)工作機構，作為信息系統(tǒng)安全的直接責任人。

第九條各公司應履行以下信息系統(tǒng)安全管理職責：

（一）貫徹落實國家和監(jiān)管部門有關信息系統(tǒng)安全管理的法律法規(guī)、技術標準和相關要求。

（二）組織公司信息系統(tǒng)安全規(guī)劃與建設工作，制訂相關管理規(guī)定。

（三）建立有效的信息系統(tǒng)安全保障體系并定期或根據(jù)工作需要及時進行檢查、評估、審計、改進、監(jiān)控等工作。

（四）對信息系統(tǒng)安全事件進行管理、處置和上報。

（五）組織公司員工信息系統(tǒng)安全教育與培訓。

（六）開展與信息系統(tǒng)安全相關的其他工作。

第十條 建立覆蓋物理環(huán)境、網絡、主機系統(tǒng)、桌面系統(tǒng)、數(shù)據(jù)、存儲、災備、安全事件管理及應用等各層面的安全管理規(guī)章制度，并定期或根據(jù)需要及時對安全管理規(guī)章制度進行評審、修訂。

第十一條針對信息系統(tǒng)安全的各層面、各環(huán)節(jié)，結合各部門和崗位職責，建立職責明確的授權機制、審批流程以及完備有效、相互制衡的內部控制體系，并對審批文檔和內部控制過程進行及時記錄。

第十二條 配備足夠的具有專業(yè)知識和技能的信息系統(tǒng)安全工作人員。明確信息系統(tǒng)安全相關人員角色和職責，建立必要的崗位分離和職責權限制約機制，實行最小授權，避免單一人員權限過于集中引發(fā)風險，重要崗位應設定候補員工及工作接替計劃。

第十三條 定期或根據(jù)工作需要及時對高級管理人員開展信息安全管理與治理相關培訓，對參與信息系統(tǒng)建設、運行維護和操作使用的人員進行安全教育、技能培訓和考核。加強崗位管理，明確上崗與離崗要求，重要崗位須簽署相關崗位協(xié)議。對涉密崗位工作人員應特別進行保密教育培訓，并簽訂保密承諾書。

第十四條 按照國家和監(jiān)管部門信息系統(tǒng)安全規(guī)范、技術標準及等級保護管理要求，明確信息系統(tǒng)安全保護等級，實施信息系統(tǒng)安全等級保護，按等級安全要求進行備案并定期測評和整改。

第十五條 制定信息管理相關制度和流程，規(guī)范管理信息采集、傳輸、交換、存儲、備份、恢復和銷毀等環(huán)節(jié)，加強重要數(shù)據(jù)信息控制和保護，保障信息的合法、合規(guī)使用。

第十六條 按照國家和監(jiān)管部門信息系統(tǒng)災難恢復管理要求、規(guī)范和技術標準，推進信息系統(tǒng)災難恢復建設工作并定期進行演練，確保業(yè)務連續(xù)性。

第十七條 對信息系統(tǒng)安全事件進行等級劃分和事件分類，制定安全事件報告、響應處理程序等應急預案，并定期進行演練，評審和修訂。遇有重大信息系統(tǒng)事故或突發(fā)事件，應按應急預案快速響應處理，并按規(guī)定及時向中國保監(jiān)會報告。

第十八條 建立有效可靠的安全信息獲取渠道，獲取與公司信息系統(tǒng)運營相關的外部安全預警信息，匯總、整理公司內部安全信息，及時提交公司信息安全專業(yè)工作機構，并按相關流程發(fā)布實施。

第十九條 設立獨立于信息技術部門的信息科技風險審計崗位，負責信息科技審計制度制訂和信息系統(tǒng)風險評估與審計。至少每年對信息安全控制策略和措施及落實情況進行檢查，至少每兩年開展一次信息科技風險評估與審計，并將信息科技風險評估審計報告報送中國保監(jiān)會。

鼓勵公司在符合國家有關法律、法規(guī)和監(jiān)管要求的情況下，聘請具備相應資質的外部機構進行外部審計和風險評估。

第二十條加強信息系統(tǒng)知識產權保護和推進正版化工作，禁止復制、傳播或使用非授權軟件。

第二十一條申請信息安全管理體系認證的公司應按國家及監(jiān)管部門要求，加強信息安全管理體系認證安全管理，選擇國家認證認可監(jiān)督管理部門批準的機構進行認證，并與認證機構簽訂安全和保密協(xié)議。

第二十二條 在信息系統(tǒng)可能對客戶服務造成較大影響時，根據(jù)有關法律法規(guī)及時和規(guī)范地披露信息系統(tǒng)風險狀況，并以適當?shù)姆绞礁嬷蛻簟?/p>

三、基礎設施與網絡設備環(huán)境

第二十三條根據(jù)信息化發(fā)展需要，建設相應的中心機房和災備機房（以下統(tǒng)稱“機房”）。機房應設置在中華人民共和國境內（不包括港、澳、臺地區(qū)），機房建設須符合國家有關標準規(guī)范和監(jiān)管部門要求。將機房外包托管的公司，應保證受托方機房符合上述標準，主機托管應具有獨立的操作空間和嚴格的安全措施。

第二十四條 建立健全機房運行維護安全管理制度，指定專門部門及專人負責機房安全管理，采取合理的物理訪問控制，對出入機房人員進行審查、登記，確保對機房實施7×24小時實時監(jiān)控。

第二十五條 建立信息系統(tǒng)資產安全管理制度，編制資產清單，明確資產管理責任部門與人員，規(guī)范資產分配、使用、存儲、維護和銷毀等各種行為，定期對資產清單進行一致性檢查并保留檢查記錄。

第二十六條 根據(jù)設備功能及軟件應用等性質設立物理安全保護區(qū)域，采取必要的預防、檢測和恢復控制措施。重要保護區(qū)域前應設置交付或過渡區(qū)域,重要設備或主要部件應進行固定并設置明顯的標記。

第二十七條 根據(jù)業(yè)務、應用系統(tǒng)的功能及信息安全級別，將網絡與信息系統(tǒng)劃分成不同的邏輯安全區(qū)域，在網絡各區(qū)域之間以及網絡邊界建立訪問控制措施，部署監(jiān)控手段，控制數(shù)據(jù)流向安全。

第二十八條建立較為完備的網絡體系，具有合理的網絡結構，重要網絡設備和通信線路應具有冗余備份，確保業(yè)務系統(tǒng)安全穩(wěn)定運行。

第二十九條 建立網絡安全管理制度，規(guī)范管理網絡結構、安全配置、日志保存、安全控制軟件升級與打補丁、口令更新、文件備份和外部連接等方面的授權批準與變更審核，保障安全策略的有效執(zhí)行。

第三十條 內部網絡與互聯(lián)網、外聯(lián)單位網絡等連接時，應明確網絡外聯(lián)種類方式，采用可靠連接策略及技術手段，實現(xiàn)彼此有效隔離，并對跨網絡流量、網絡用戶行為等進行記錄和定期審計，同時確保審計記錄不被刪除、修改或覆蓋。

第三十一條 嚴格控制移動式設備接入、無線接入和遠程接入等網絡接入行為，明確接入方式、訪問控制等措施要求，形成網絡接入日志并定期審計，確保未經審查通過的設備無法接入。

第三十二條 加強信息系統(tǒng)平臺軟件安全管理，確保配置標準落實。對入侵行為、惡意代碼、病毒等風險即進行防范部署，嚴格控制信息系統(tǒng)身份訪問、資源訪問，監(jiān)控主機系統(tǒng)的資源使用情況，并在服務水平降低到設定閾值時發(fā)出報警。

第三十三條 分類對計算機終端的安全提出要求，制訂終端網絡準入、安全策略、軟件安裝等管理規(guī)范。

第三十四條 規(guī)范化管理信息系統(tǒng)相關硬件設備，規(guī)范設備選型、購置、登記、保養(yǎng)、維修、報廢等相關流程，實時動態(tài)監(jiān)控設備運行狀態(tài)，定期進行巡檢、維護和保養(yǎng)并保留相關記錄。

第三十五條 制定介質分類管理制度。根據(jù)介質存儲內容與重要性明確存儲介質類型、存放技術指標、保存期限等，并定期檢查介質中存儲的信息是否完整可用。重要備份介質應進行異地存放。介質送出維修或銷毀時，應保證介質信息預先得到審查并妥善處理。對于存儲客戶隱私等涉密信息的存儲介質，應嚴格依據(jù)國家及監(jiān)管部門要求進行保存與銷毀等管理。

四、應用系統(tǒng)與數(shù)據(jù)安全

第三十六條 建立完善的信息系統(tǒng)開發(fā)運行維護管理組織體系，制訂完備管理制度與操作規(guī)范，確保信息系統(tǒng)開發(fā)與運行維護過程獨立、人員分離。

第三十七條 生產系統(tǒng)應與開發(fā)、測試系統(tǒng)有效隔離，確保生產系統(tǒng)安全、穩(wěn)定運行。

第三十八條 信息系統(tǒng)開發(fā)、實施過程應明確控制方法和人員行為準則，保存相關文檔和記錄。制定信息系統(tǒng)代碼編寫安全規(guī)范，規(guī)范開發(fā)人員對源代碼訪問權限的管理，有效保護公司信息資產安全。涉及公司核心或機密數(shù)據(jù)的信息系統(tǒng)，應采取必要的保密措施確保其開發(fā)實施安全，不得使用敏感生產數(shù)據(jù)用于開發(fā)、測試環(huán)境。

第三十九條 信息系統(tǒng)正式上線運行前，應對系統(tǒng)進行功能、性能與安全性測試與驗收，經相關流程審批后方可投入使用。

第四十條 制定有效的信息系統(tǒng)變更管理流程，控制系統(tǒng)變更過程，分析變更影響，確保生產環(huán)境的完整性和可靠性。包括緊急變更在內的所有變更都應記入日志，并做好系統(tǒng)變更前準備。

第四十一條 對信息系統(tǒng)的運行維護負責，保持運行維護控制力。加強安全入侵檢測監(jiān)控，進行風險評估與安全掃描，及時發(fā)現(xiàn)并處置安全事件。

第四十二條建立覆蓋信息系統(tǒng)全生命周期的信息安全問題管理流程。建立系統(tǒng)身份鑒別機制，嚴格帳號權限控制管理，規(guī)范權限分配和回收流程，保存審計記錄，及時進行分析處理。確保全面的追蹤、分析和解決信息系統(tǒng)問題，并對問題記錄、分類和索引。

在遇有系統(tǒng)及數(shù)據(jù)升級、存檔、存儲、遷移、消除等需要系統(tǒng)終止運行情況，應妥善處理，保證系統(tǒng)及數(shù)據(jù)安全。

第四十三條 根據(jù)內部控制與審計的要求，保存信息系統(tǒng)相關日志，并采取適當措施確保日志內容不被刪除、修改或覆蓋。

第四十四條 對主機系統(tǒng)進行審計，妥善管理并及時分析處理審計記錄。對重要用戶行為、異常操作和重要系統(tǒng)命令的使用等應進行重點審計。

第四十五條 建立信息系統(tǒng)災難恢復管理機制。根據(jù)數(shù)據(jù)及系統(tǒng)的重要性，明確數(shù)據(jù)及系統(tǒng)的備份與災難恢復策略。

第四十六條采用必要的技術手段和管理措施，保證數(shù)據(jù)通信的保密性和完整性。涉密信息應進行加密處理，確保涉密信息在傳輸、處理、存儲過程中不被泄露或篡改。

與外部相關單位信息交換時要保證信息交換協(xié)議、策略、密鑰等開發(fā)運維安全管理，采用國家和行業(yè)相關數(shù)據(jù)交換標準，保障數(shù)據(jù)交換過程安全可控。

第四十七條 按照國家密碼管理相關規(guī)定和要求，建立健全密碼設備管理制度，加強密碼設備使用人員管理，使用符合國家要求和信息加密強度要求的加密技術和產品，加強相關信息系統(tǒng)安全保密設計和建設。

第四十八條 加強互聯(lián)網門戶網站系統(tǒng)安全管理工作，建立嚴格信息發(fā)布審批制度，嚴格控制網站內容發(fā)布權限，對網站系統(tǒng)進行安全評估，確保網站系統(tǒng)安全穩(wěn)定運行。

第四十九條 電子商務、交易系統(tǒng)等應用系統(tǒng)建設應具備相應管理規(guī)范，明確各交易環(huán)節(jié)或過程安全要求，采取必要安全技術和管理措施，保護個人信息和客戶敏感商業(yè)信息，保留交易相關日志，確保交易行為安全可靠。

第五十條 加強信息系統(tǒng)病毒防護工作，集中進行防病毒產品的選型測試和部署實施，及時更新防病毒軟件和病毒代碼，發(fā)現(xiàn)病毒或異常情況及時處理。

建立惡意代碼防范管理制度，并部署防惡意代碼軟件，對防惡意代碼軟件的授權使用、惡意代碼庫升級、定期匯報等做出明確規(guī)定，采取管理與技術措施，確保具備主動發(fā)現(xiàn)和有效阻止惡意代碼傳播的能力。

五、信息化工作外包與采購服務

第五十一條實施信息化工作外包的公司，應制定完備的外包服務管理制度，將外包納入全面風險管理體系，合理審慎實施外包。

不得將信息系統(tǒng)安全管理責任外包。對涉及國家及本公司商業(yè)秘密和客戶隱私等敏感信息系統(tǒng)內容進行外包時，應遵守國家和監(jiān)管部門有關法律法規(guī)與要求，并經過公司決策機構批準。

第五十二條根據(jù)國家與監(jiān)管部門有關外包與采購規(guī)定，結合風險控制和實際需要，建立有效的外包和采購內部評估審核流程與監(jiān)督管理機制。

第五十三條 實施數(shù)據(jù)中心、信息科技基礎設施等重要外包應格外謹慎，在準備實施重要外包時應以書面材料正式報告中國保監(jiān)會。

第五十四條 建立健全外包承包方考核、評估機制，定期對承包方財務狀況、技術實力、安全資質、風險控制水平和誠信記錄等進行審查、評估與考核，確保其設施和能力滿足外包要求。公司應優(yōu)先選用通過信息安全管理體系認證的信息技術服務機構提供外包服務。

第五十五條 與外包承包方簽訂書面外包服務合同，合同包括但不限于外包服務范圍、安全保密、知識產權、業(yè)務連續(xù)性要求、爭端解決機制、合同變更或終止的過渡安排、違約責任等條款，且承包方須承諾配合保險公司接受保險監(jiān)督管理機構的檢查。

第五十六條 嚴格控制外包承包方的再轉包行為。對于確有第三方外包供應商參與實施的項目，應采取有力措施，確保外包服務質量和安全不受影響和不衰減。

第五十七條 與外包承包方建立有效信息交流與溝通機制，確保外包服務人員的相對穩(wěn)定性。對于人員的必要流動，應要求外包承包方承諾確保外包服務的連續(xù)性與安全性。

第五十八條中國保監(jiān)會根據(jù)需要對外包活動進行現(xiàn)場檢查，采集外包活動過程中數(shù)據(jù)信息和相關資料，對于違反相關法律、法規(guī)或存在重大風險隱患的外包情形，可以要求公司進行整改，并視情況予以問責。

六、附則

第五十九條本指引由中國保監(jiān)會負責解釋、修訂。

第六十條信息化工作重大事項范圍請參考《關于加強保險業(yè)信息化工作重大事項管理的通知》（保監(jiān)廳發(fā)〔2007〕8號）

第六十一條本指引自發(fā)布之日起實施。

第五篇：保險公司風險管理指引(試行)(保監(jiān)發(fā)〔2007〕23號)

【發(fā)布單位】中國保險監(jiān)督管理委員會 【發(fā)布文號】保監(jiān)發(fā)〔2007〕23號 【發(fā)布日期】2007-04-06 【生效日期】2007-07-01 【失效日期】 【所屬類別】政策參考

【文件來源】中國保險監(jiān)督管理委員會

保險公司風險管理指引（試行）

(保監(jiān)發(fā)〔2007〕23號)

各保險公司、保險資產管理公司，各保監(jiān)局：

為強化保險公司風險管理，加強保險監(jiān)管，提高風險防范能力，保監(jiān)會制定了《保險公司風險管理指引（試行）》?，F(xiàn)印發(fā)給你們，請各公司結合自身實際，認真貫徹落實。

特此通知

二○○七年四月六日

保險公司風險管理指引（試行）

第一章 總則

第一條第一條 為指導保險公司加強風險管理，保障保險公司穩(wěn)健經營，根據(jù)《 關于規(guī)范保險公司治理結構的指導意見（試行）》及其他相關法律法規(guī)，制定本指引。

第二條第二條 本指引適用于在中國境內依法設立的保險公司和保險資產管理公司。

保險集團（控股）公司已經按照本指引規(guī)定建立覆蓋全集團的風險管理體系的，經中國保監(jiān)會批準，其保險子公司可以不適用本指引。

第三條第三條 本指引所稱風險，是指對實現(xiàn)保險經營目標可能產生負面影響的不確定性因素。

第四條第四條 本指引所稱風險管理，是指保險公司圍繞經營目標，對保險經營中的風險進行識別、評估和控制的基本流程以及相關的組織架構、制度和措施。

第五條第五條 保險公司應當明確風險管理目標，建立健全風險管理體系，規(guī)范風險管理流程，采用先進的風險管理方法和手段，努力實現(xiàn)適當風險水平下的效益最大化。

第六條第六條 保險公司風險管理應當遵循以下原則：

（一）全面管理與重點監(jiān)控相統(tǒng)一的原則。保險公司應當建立覆蓋所有業(yè)務流程和操作環(huán)節(jié)，能夠對風險進行持續(xù)監(jiān)控、定期評估和準確預警的全面風險管理體系，同時要根據(jù)公司實際有針對性地實施重點風險監(jiān)控，及時發(fā)現(xiàn)、防范和化解對公司經營有重要影響的風險。

（二）獨立集中與分工協(xié)作相統(tǒng)一的原則。保險公司應當建立全面評估和集中管理風險的機制，保證風險管理的獨立性和客觀性，同時要強化業(yè)務單位的風險管理主體職責，在保證風險管理職能部門與業(yè)務單位分工明確、密切協(xié)作的基礎上，使業(yè)務發(fā)展與風險管理平行推進，實現(xiàn)對風險的過程控制。

（三）充分有效與成本控制相統(tǒng)一的原則。保險公司應當建立與自身經營目標、業(yè)務規(guī)模、資本實力、管理能力和風險狀況相適應的風險管理體系，同時要合理權衡風險管理成本與效益的關系，合理配置風險管理資源，實現(xiàn)適當成本下的有效風險管理。

第七條第七條 保險公司應當建立涵蓋風險管理基本流程和控制環(huán)節(jié)的信息系統(tǒng)，提高風險管理的信息化水平。

保險公司應當統(tǒng)籌規(guī)劃風險管理和業(yè)務管理信息系統(tǒng)，使風險信息能夠在職能部門和業(yè)務單位之間實現(xiàn)集成與共享，充分滿足對風險進行分析評估和監(jiān)控管理的各項要求。

第八條第八條 保險公司應當定期對高級管理人員和員工進行風險管理理念、知識、流程以及控制方式等內容的培訓，增強風險管理意識，同時將風險管理績效與薪酬制度、人事制度和責任追究制度相結合，培育和塑造良好的風險管理文化。

第二章 風險管理組織

第九條第九條 保險公司應當建立由董事會負最終責任、管理層直接領導，以風險管理機構為依托，相關職能部門密切配合，覆蓋所有業(yè)務單位的風險管理組織體系。

第十條第十條 保險公司可以在董事會下設立風險管理委員會負責風險管理工作。

風險管理委員會成員應當熟悉保險公司業(yè)務和管理流程，對保險經營風險及其識別、評估和控制等具備足夠的知識和經驗。

沒有設立風險管理委員會的，由審計委員會承擔相應職責。

第十一條第十一條 保險公司董事會風險管理委員會應當全面了解公司面臨的各項重大風險及其管理狀況，監(jiān)督風險管理體系運行的有效性，對以下事項進行審議并向董事會提出意見和建議：

（一）風險管理的總體目標、基本政策和工作制度；

（二）風險管理機構設置及其職責；

（三）重大決策的風險評估和重大風險的解決方案；

（四）風險評估報告。

第十二條第十二條 保險公司可以設立由相關高級管理人員或者部門負責人組成的綜合協(xié)調機構，由總經理或者總經理指定的高級管理人員擔任負責人。風險管理協(xié)調機構主要職責如下：

（一）研究制定與保險公司發(fā)展戰(zhàn)略、整體風險承受能力相匹配的風險管理政策和制度；

（二）研究制定重大事件、重大決策和重要業(yè)務流程的風險評估報告以及重大風險的解決方案；

（三）向董事會風險管理委員會和管理層提交風險評估報告；

（四）指導、協(xié)調和監(jiān)督各職能部門和各業(yè)務單位開展風險管理工作。

第十三條第十三條 保險公司應當設立風險管理部門或者指定工作部門具體負責風險管理相關事務工作。該部門主要職責如下：

（一）對風險進行定性和定量評估，改進風險管理方法、技術和模型；

（二）合理確定各類風險限額，組織協(xié)調風險管理日常工作，協(xié)助各業(yè)務部門在風險限額內開展業(yè)務，監(jiān)控風險限額的遵守情況；

（三）資產負債管理；

（四）組織推動建立風險管理信息系統(tǒng)；

（五）組織推動風險文化建設。

設有本指引第十二條規(guī)定的風險管理協(xié)調機構的，該部門為其辦事機構。

第十四條第十四條 保險公司各職能部門和業(yè)務單位應當接受風險管理部門的組織、協(xié)調和監(jiān)督，建立健全本職能部門或者業(yè)務單位風險管理的子系統(tǒng)，執(zhí)行風險管理的基本流程，定期對本職能部門或者業(yè)務單位的風險進行評估，對其風險管理的有效性負責。

第三章 風險評估

第十五條第十五條 保險公司應當識別和評估經營過程中面臨的各類主要風險，包括：保險風險、市場風險、信用風險和操作風險等。

（一）保險風險指由于對死亡率、疾病率、賠付率、退保率等判斷不正確導致產品定價錯誤或者準備金提取不足，再保險安排不當，非預期重大理賠等造成損失的可能性。

（二）市場風險是指由于利率、匯率、股票價格和商品價格等市場價格的不利變動而造成損失，以及由于重大危機造成業(yè)務收入無法彌補費用的可能性。

（三）信用風險是指由于債務人或者交易對手不能履行合同義務，或者信用狀況的不利變動而造成損失的可能性。

（四）操作風險指由于操作流程不完善、人為過錯和信息系統(tǒng)故障等原因導致?lián)p失的可能性。

保險公司還應當對戰(zhàn)略規(guī)劃失誤和公司治理結構不完善等給公司帶來不利影響的其他風險予以關注。

第十六條第十六條 保險公司風險管理部門應當與各職能部門和業(yè)務單位建立信息共享機制，廣泛搜集、整理與風險管理相關的內外部信息，為風險評估奠定相應的信息基礎。

第十七條第十七條 保險公司應當在廣泛收集信息的基礎上，對經營活動和業(yè)務流程進行風險評估。風險評估包括風險識別、風險分析、風險評價三個步驟。

風險識別是指識別經營活動及業(yè)務流程中是否存在風險以及存在何種風險。

風險分析是指對識別出的風險進行分析，判斷風險發(fā)生的可能性及風險發(fā)生的條件。

風險評價是指評估風險可能產生損失的大小及對保險公司實現(xiàn)經營目標的影響程度。

第十八條第十八條 風險評估應當采用定性與定量相結合的方法。定量評估應當統(tǒng)一制定各風險的度量單位和風險度量模型，確保評估的假設前提、參數(shù)、數(shù)據(jù)來源和評估程序的合理性和準確性。

第十九條第十九條 保險公司進行風險評估時，應當對各種風險之間的相關性進行分析，以便發(fā)現(xiàn)各風險之間的自然對沖、風險事件發(fā)生的正負相關性等組合效應，對風險進行統(tǒng)一集中管理。

第二十條第二十條 風險評估由風險管理部門組織實施，必要時可以聘請中介機構協(xié)助實施。

第二十一條第二十一條 保險公司應當對風險信息實行動態(tài)管理，及時識別新的風險，并對原有風險的變化進行重新評估。

第四章 風險控制

第二十二條第二十二條 風險控制包括明確風險管理總體策略、制定風險解決方案和方案的組織實施等內容。

第二十三條第二十三條 制定風險管理總體策略是指保險公司根據(jù)自身發(fā)展戰(zhàn)略和條件，明確風險管理重點，確定風險限額，選擇風險管理工具以及配置風險管理資源等的總體安排。

第二十四條第二十四條 保險公司應當根據(jù)風險發(fā)生的可能性和對經營目標的影響程度，對各項風險進行分析比較，確定風險管理的重點。

第二十五條第二十五條 確定風險限額是指保險公司根據(jù)自身財務狀況、經營需要和各類保險業(yè)務的特點，在平衡風險與收益的基礎上，確定愿意承擔哪些風險及所能承受的最高風險水平，并據(jù)此確定風險的預警線。

第二十六條第二十六條 保險公司針對不同類型的風險，可以選擇風險規(guī)避、降低、轉移或者自留等風險管理工具，確保把風險控制在風險限額以內。

第二十七條第二十七條 保險公司應當根據(jù)風險管理總體策略，針對各類重大風險制定風險解決方案。風險解決方案主要包括解決該項風險所要達到的具體目標，所涉及的管理及業(yè)務流程，所需的條件和資源，所采取的具體措施及風險管理工具等內容。

第二十八條第二十八條 保險公司應當根據(jù)各職能部門和業(yè)務單位職責分工，認真組織實施風險解決方案，確保風險得到有效控制。

第五章 風險管理的監(jiān)督與改進

第二十九條第二十九條 保險公司應當對風險管理的流程及其有效性進行檢驗評估，并根據(jù)評估結果及時改進。

第三十條第三十條 保險公司各職能部門和業(yè)務單位應當定期對其風險管理工作進行自查，并將自查報告報送風險管理部門。

第三十一條第三十一條 保險公司風險管理部門應當定期對各職能部門和業(yè)務單位的風險管理工作進行檢查評估，并提出改進的建議和措施。

第三十二條第三十二條 保險公司風險管理部門應當每年至少一次向管理層和董事會提交風險評估報告。風險評估報告主要包括以下內容：

（一）風險管理組織體系和基本流程；

（二）風險管理總體策略及其執(zhí)行情況；

（三）各類風險的評估方法及結果；

（四）重大風險事件情況及未來風險狀況的預測；

（五）對風險管理的改進建議。

第三十三條第三十三條 董事會或者其風險管理委員會可以聘請中介機構對保險公司風險管理工作進行評價，并出具評估報告。

第六章 風險管理的監(jiān)管

第三十四條第三十四條 保險公司應當及時向中國保監(jiān)會報告本公司發(fā)生的重大風險事件。

第三十五條第三十五條 保險公司應當按照本指引及償付能力編報規(guī)則的要求，在年報中提交經董事會審議的風險評估報告。

第三十六條第三十六條 中國保監(jiān)會定期對保險公司及其分支機構的風險管理工作進行檢查。檢查內容主要包括：

（一）風險管理組織的健全性及履職情況；

（二）風險管理流程的完備性、可操作性和實際運行情況；

（三）重大風險處置的及時性和有效性。

第三十七條第三十七條 中國保監(jiān)會可以根據(jù)檢查結果，對風險管理存在嚴重缺陷的保險公司出具風險提示函。保險公司應當按照風險提示函的要求及時提交整改方案，采取整改措施并提交整改情況報告。

第七章 附則

第三十八條第三十八條 本指引由中國保監(jiān)會負責解釋。

第三十九條第三十九條 本指引自二○○七年七月一日起施行。

本內容來源于政府官方網站，如需引用，請以正式文件為準。